Parametros e inyeccion de codigo

01/01/2008 - 17:14 por Josias | Informe spam
He leido que se deben usar los parametros para las consultas que se mandan a
sql server para protegerlas de la inyeccion de codigo.

Pero si se trata de una simple consulta que no debe incluir parametros, como
"select tipo, descripcion from tabla", como uno hace para protegerla de la
inyección ?

Preguntas similare

Leer las respuestas

#1 Octavio Hernandez
01/01/2008 - 18:10 | Informe spam
Esa ya de por sí está protegida (a menos que permita que sea el usuario
introduzca la sentencia).

Slds - Octavio


"Josias" <josias> wrote in message
news:
He leido que se deben usar los parametros para las consultas que se mandan
a sql server para protegerlas de la inyeccion de codigo.

Pero si se trata de una simple consulta que no debe incluir parametros,
como "select tipo, descripcion from tabla", como uno hace para protegerla
de la inyección ?




Respuesta Responder a este mensaje
#2 Guillermo guille
01/01/2008 - 18:23 | Informe spam
Si esa consulta (el texto) lo puede manipular el usuario... mejor lo creas
en un procedimiento almacenado, si el usuario no tiene acceso a ese texto,
pues... (creo) que no se podrá inyectar nada...

Es decir, si el usuario tiene posibilidad de escribir algo... puede
"inyectarte" algo chungo ;-)))

Nos vemos
Guillermo

Microsoft MVP Visual Basic desde 1997
Tus consultas en los foros del Guille: http://foros.elguille.info/


"Josias" <josias> wrote in message
news:
He leido que se deben usar los parametros para las consultas que se mandan
a sql server para protegerlas de la inyeccion de codigo.

Pero si se trata de una simple consulta que no debe incluir parametros,
como "select tipo, descripcion from tabla", como uno hace para protegerla
de la inyección ?




Respuesta Responder a este mensaje
#3 Josias
01/01/2008 - 18:55 | Informe spam
Muchas gracias!!!


"Josias" <josias> escribió en el mensaje
news:
He leido que se deben usar los parametros para las consultas que se mandan
a sql server para protegerlas de la inyeccion de codigo.

Pero si se trata de una simple consulta que no debe incluir parametros,
como "select tipo, descripcion from tabla", como uno hace para protegerla
de la inyección ?




Respuesta Responder a este mensaje
#4 Lluis Franco
02/01/2008 - 12:39 | Informe spam
Es decir, si el usuario tiene posibilidad de escribir algo... puede
"inyectarte" algo chungo ;-)))



Sip.
Como bien dice el agüelo, cualquier entrada del usuario puede ser
susceptible de recibir algo maligno por parte de un usuario malintencionado.

Lluís Franco i Montanyés
[MS-MVP-MCP Visual Basic]
Web: http://sps.uyssoft.com
Blog: http://msmvps.com/blogs/lfranco
Geeks: http://geeks.ms/blogs/lfranco
(Guía de netiquette de los foros)
http://sps.uyssoft.com/Foros%20onli...uette.aspx
FIMARGE, S.A.
Principat d'Andorra

Tel.: +376 805 100
Fax: +376 824 500
Mi Perfil MVP en:
https://mvp.support.microsoft.com/profile/Lluis
This posting is provided "AS IS" with no warranties, and confers no rights.
Este mensaje se proporciona "COMO ESTA" sin garantias y no otorga ningun
derecho.
Respuesta Responder a este mensaje
#5 Rolando
02/01/2008 - 13:01 | Informe spam
Siempre que el usuario tenga el permiso de hacer modificaciones.



"Lluis Franco" escribió en el mensaje
news:
Es decir, si el usuario tiene posibilidad de escribir algo... puede
"inyectarte" algo chungo ;-)))



Sip.
Como bien dice el agüelo, cualquier entrada del usuario puede ser
susceptible de recibir algo maligno por parte de un usuario
malintencionado.

Lluís Franco i Montanyés
[MS-MVP-MCP Visual Basic]
Web: http://sps.uyssoft.com
Blog: http://msmvps.com/blogs/lfranco
Geeks: http://geeks.ms/blogs/lfranco
(Guía de netiquette de los foros)
http://sps.uyssoft.com/Foros%20onli...uette.aspx
FIMARGE, S.A.
Principat d'Andorra

Tel.: +376 805 100
Fax: +376 824 500
Mi Perfil MVP en:
https://mvp.support.microsoft.com/profile/Lluis
This posting is provided "AS IS" with no warranties, and confers no
rights.
Este mensaje se proporciona "COMO ESTA" sin garantias y no otorga ningun
derecho.
Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida